Обман на кликах. Как выявить мошенников в онлайн-рекламе и защититься от них
Как это работает
В общих чертах весь фрод можно свести к двум категориям: искусственному и человеческому трафику.
Искусственный трафик
Если упростить, это боты, созданные для определённых действий, например установок приложений, кликов или просмотров рекламы. Эксперты выделяют среди них простые (их достаточно легко обнаружить и заблокировать) и сложные боты. Последние используют рандомные прокси и динамические IP, могут подстраивать CTR под средние показатели и имитировать человеческое поведение.
Среди последних самые коварные — ботнеты — сети хостов с запущенными ботами. Они самостоятельно обучаются и быстро меняют своё поведение при попытках обнаружения.
Человеческий трафик
Тоже бывает разный. Есть мотивированный, в котором задействованы реальные люди и где оплата происходит за целевое действие (например, за установку приложения или заполнение формы). Существуют даже целые клик-фермы, нанимающие сотрудников как раз для генерации такого трафика. Таким образом, формально действие выполняется человеком, но не несёт никакой выгоды для заказчика, заинтересованного в получении реальных клиентов.
Есть куки-стаффинг. Его цель — добавить свою партнёрскую метку в cookie-файлы максимального количества пользователей, перехватывая трафик из других каналов. Затем мошенник ждёт, когда кто-то из них совершит целевое действие, чтобы получить «заслуженную» оплату. Для этого злоумышленники распространяют вредоносное ПО и фрод-скрипты, показывают невидимые объявления размером в пиксель, подменяют домены и создают цепочки редиректов (автоматическая переадресация посетителя с одного URL-адреса на другой).
Где можно встретить
Медийная реклама и programmatic
Основные нарушения: невидимые объявления, ботовые клики и накрутка показов, нежелательное окружение бренда (реклама на площадках с наркотиками, контентом для взрослых и так далее).
В медийной рекламе выделяют две большие группы «грязного» трафика.
Базовый недействительный трафик (GIVT — General Invalid Traffic) исходит от дата-центров, ботов и поисковых роботов. Его легко фильтровать с помощью стандартной проверки параметров рекламы.
Сложный для определения недействительный трафик (SIVT — Sophisticated Invalid Traffic) требует расширенного анализа.
К нему относят:
- трафик от ботов под видом реальных пользователей;
- трафик от принудительного перенаправления на другой сайт, вкладку или магазин;
- трафик из промежуточного прокси-устройства, которое манипулирует подсчётами трафика или пропускает фрод;
- трафик с рекламного или вредоносного ПО;
- трафик с непросматриваемых объявлений.
СРА-сети
CPA-сети — рекламные системы-посредники, которые предлагают рекламодателям оплачивать только целевые действия пользователей. Мошенники же могут попытаться присвоить эти действия.
К подобным схемам относится куки-стаффинг, о котором мы говорили в начале, а также:
- несанкционированное упоминание бренда в контекстной рекламе;
- мотивированный трафик, когда пользователь получает награду за совершение действий;
- вредоносные тулбары, которые забирают себе органический трафик через привлечение пользователей в купонные или кешбэк-сервисы.
Реклама в мобильных приложениях
Действия в этом канале направлены на установки приложений и совершение целевых действий, полученных мошенническим путём. Сюда входят мотивированный и искусственный трафик, а также:
- Click Spam — незаметная для пользователя генерация кликов в фоновом режиме, чтобы искусственно воссоздать целевое действие (клик) скачиванием приложения. В результате установка приписывается мошенническому клику, а не естественному интересу пользователя.
- Click Injection — это «улучшенная» версия Click Spam. Через уже установленное заражённое приложение мошенники отслеживают новые скачивания на устройстве. Сразу после начала загрузки они подделывают клик по рекламному объявлению этого приложения и приписывают органическую установку себе, получая за неё оплату.
Как распознать обман
Есть маркеры, которые указывают на наличие проблемы.
Конверсия
Несмотря на то что мошенники подмешивают фрод в чистый трафик, чтобы оставаться незамеченными, аналитикам на стороне рекламодателя стоит оценивать адекватность уровня конверсии. Подозрительно выглядят крайне высокие или низкие показатели, аномально высокая скорость загрузки сайта или большое количество переходов с одного источника.
Время на сайте
Должен вызывать сомнение маленький промежуток (меньше одной минуты) между кликом по рекламному объявлению и совершённым целевым действием. Также учитывайте, когда пользователи заходят к вам на сайт: рост активности в ночные часы, если это им не свойственно, выглядит подозрительно. Плохим знаком служит и продолжительность «жизни пользователя», не превышающая трёх дней.
Поведение
Обращайте внимание на то, как себя ведут люди на вашем сайте. Не находите ли вы очевидных закономерностей? Повторяющиеся паттерны действий, например равные временные промежутки между кликами, говорят о роботизированном поведении.
Активность
Есть боты, чьё поведение трудно отличить от человеческого. При этом можно обнаружить их самостоятельно, сравнив активность клиентов и привлечённых с помощью рекламы пользователей. Для этого нужно будет оценить показатель отказов, уровень конверсий, количество страниц на сеанс и среднее время, проведённое на странице, — мошенники могут «не угадать» типичные для вас значения. Сюда же можно отнести подозрительно большое число кликов с одного IP или ID.
География
Если пользователи переходят на сайт из стран, на рынках которых вы не представлены, это повод задуматься о качестве рекламы. В некоторых случаях мошенничества в мобильной рекламе можно встретить разную локацию клика и установки для одного и того же пользователя.
Браузеры и ОС
Сигналом о фроде может служить необычное распределение по браузерам и версиям операционной системы (ОС). Для этого можно сравнить рекламный трафик в Google Analytics с вашим органическим трафиком, а лучше — с авторизованными пользователями.
Отсеивать фрод можно вручную, ориентируясь на описанные выше показатели, а также с помощью антифрод-систем, которые определяют подозрительный трафик автоматически.
Результат борьбы с мошенничеством зависит не только от конкретного инструмента, но и от общего подхода к работе. Важно блокировать выплаты партнёрам, которых вы поймали на фроде, и следить за показателями рекламных кампаний. Это позволит многократно сэкономить бюджет, реинвестировать его в качественный трафик.
Коллаж: «Секрет фирмы», freepik.com